256 Tools

JWTデコーダー

トークンはブラウザ内でデコードされ、どこにも送信されません。

ヘッダー
{
  "alg": "HS256",
  "typ": "JWT"
}
ペイロード
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1900000000
}
時刻クレーム(ローカル時刻)
  • exp2030/03/17 17:46:40
  • iat2018/01/18 1:30:22

このツールはトークンのデコードのみ行います。署名の検証(秘密鍵または公開鍵が必要)は行いません。

関連する外部ツール

一部のリンクはアフィリエイトリンクを含みます。

JetBrainsIntelliJ IDEA・WebStorm・PyCharm・Riderなど人気IDEを手がける開発ツール専門企業。高度なコード補完・リファクタリング支援・組み込みデバッガが強み。全製品を使えるAll Products Packサブスクリプションも提供。Amazonショッピング・家電・書籍・ソフトウェアなどを扱う世界最大級のオンラインマーケットプレイス。迅速な配送・簡単な返品・膨大な商品ラインナップが日常の買い物に便利。Primeなら動画配信・送料無料・限定セールも楽しめる。

関連ツール

JSON整形ツール貼り付けるだけで JSON を読みやすく整形、または1行に圧縮できます。壊れた JSON は何行目・何列目がおかしいかをハイライト表示。Base64 変換テキストと Base64 を相互変換。日本語・絵文字も文字化けしない(UTF-8 対応)、URL セーフ Base64、画像を data URL に変換。ブラウザ完結・送信なし。JSON→TypeScript型JSONを貼ると対応するTypeScriptのinterface/typeを生成。ネスト・配列マージ・optional/null対応。ブラウザ完結・送信なし。URLエンコード/デコードテキストやURLをパーセントエンコード/デコード。component/全体モード切替・クエリ文字列をkey/value分解。ブラウザ完結・送信なし。

JSON Web Token(JWT)を貼り付けると、ヘッダーとペイロードを整形されたJSONとして即座に確認できます。有効期限(exp)・発行日時(iat)などの時刻クレームはローカル時刻で表示され、トークンが期限切れかどうかも一目でわかります。デコードはすべてブラウザ内で行われ、トークンがアップロードされることはありません。

使い方

  1. JWTをボックスに貼り付けます(ドットで区切られた3つの部分)。
  2. デコードされたヘッダーとペイロードを整形JSONで確認します。
  3. 時刻クレームと有効期限の状態を確認し、必要な部分をコピーします。

仕組み

JWTはドットで区切られた3つの部分(header.payload.signature)で構成されます。ヘッダーとペイロードはBase64URLエンコードされたJSONであり、誰でもデコードできます(暗号化ではありません)。署名はトークンが改ざんされていないことを証明しますが、検証には秘密鍵または公開鍵が必要なため、このツールはデコードのみ行い署名の検証は行いません。

JWTがヘッダー・ペイロード・署名の3つの部分に分割される図。header.payload.signature

機能

ヘッダーとペイロード

両方の部分をデコードして、読みやすいJSONとして整形表示します。

時刻の人間向け表示

exp・iat・nbfなどのクレームを生の数値ではなく、ローカルの日時として表示します。

有効期限の確認

トークンがまだ有効か期限切れかをわかりやすいバッジで表示します。

ワンクリックコピー

ヘッダーまたはペイロードのJSONをワンクリックでクリップボードにコピーします。

完全ローカル処理

トークンはブラウザ内でデコードされ、サーバーに送信されることはありません。

活用シーン

APIのデバッグ

保護されたAPIエンドポイントをテスト中に、トークンのクレームを確認します。

認証のトラブルシューティング

ログインやセッションが予期しない動作をするときに、サブジェクト・ロール・有効期限を確認します。

トークンの内容確認

コードを書かずにJWTが持つデータをすばやく確認します。

学習

JWTの構造を探索して、トークンベースの認証の仕組みを理解します。

注意事項

  • このツールはデコードのみ行います。署名の検証は行いません。
  • JWTのペイロードはエンコードされているだけで暗号化されていません。秘密として扱わないでください。
  • 時刻クレーム(exp・iat・nbf)はUNIX秒で、ここではローカル時刻で表示します。
  • デコードはデバイス上で行われますが、共用コンピューターで機密トークンを貼り付けるのは避けてください。

よくある質問

署名の検証はできますか?
いいえ。JWTの署名を検証するには秘密鍵または公開鍵が必要です。このツールはヘッダーとペイロードのデコードのみ行います。
トークンをここに貼り付けても安全ですか?
デコードはすべてブラウザ内で行われ、トークンはアップロードされません。ただし、共用または公共のコンピューターでは本番の機密トークンを貼り付けないようにしてください。
expクレームとは何ですか?
expはUNIXタイムスタンプ(秒)で表した有効期限です。過去の時刻であればトークンは期限切れです。このツールではローカル時刻で表示します。
トークンが無効な場合はどうなりますか?
有効なJWTでない場合、またはBase64URL JSONとして正しく解析できない場合は、結果の代わりにエラーメッセージが表示されます。
JWTは秘密にすべきですか?
はい。トークンを持つ人はペイロードを読めるほか、有効期限が切れるまで使用できる可能性があります。パスワードと同様に扱ってください。

広告と解析のために Cookie を使用します。